Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zertifikatproblem Outlook 2010 mit Exchange 2007

Frage Microsoft Outlook & Mail

Mitglied: Coreknabe

Coreknabe (Level 2) - Jetzt verbinden

03.09.2010 um 22:09 Uhr, 19284 Aufrufe, 14 Kommentare

Hallo an alle,

habe das Problem, dass wir bei der Anbindung eines Outlook 2010-Clients an einen Exchange 2007 nach Anmeldung zwei Zertifikatfehler gemeldet bekommen ("Der auf dem Sicherheitszertifikat angegebene Name ist ungültig oder stimmt nicht mit dem Namen der Site überein").

Die Lösung hierfür findet sich ja scheinbar auch hier;
http://support.microsoft.com/kb/940726/de

Nach Ausführung der ersten beiden Punkte der Lösung kommt die Zertifikatmeldung auch nur noch einmal. Jetzt eine wahrscheinlich saudumme Frage, stehe aber auf dem Schlauch.
Unter Punkt 3 der Lösung heisst es:
Ändern Sie das Attribut InternalUrl des EWS. Geben Sie hierzu den folgenden Befehl ein, und drücken Sie die EINGABETASTE:
Set-WebServicesVirtualDirectory -Identity "CAS-Servername\EWS (Standardwebsite)" -InternalUrl https://mail.contoso.com/ews/exchange.asmx

HInter der Option -Identity, was genau ist dort einzugeben? CAS-Servername ist soweit klar, aber was ist unter Standardwebsite zu verstehen? Habe schon auf dem Exchange IIS gesucht, aber dort nichts gefunden?
Mitglied: StefanKittel
03.09.2010 um 22:43 Uhr
Hallo,

nicht so kompliziert.

Du greifst auf die Seite mit "https://mail.firma.de/exchange/Benutzer" zu.
Das Zertifikat ist aber auf exchange.firma.de oder mail.firma.com ausgestellt. Dabei geht es meist nur darum was der User im Browser eingetippt hat.

Stefan
Bitte warten ..
Mitglied: HeinrichXII
04.09.2010 um 12:33 Uhr
Hi,

gib im Explorer unter Vertrauenswürdige Seiten jeweils den Name des Servers und seine IP, je als HTTP und HTTPS ein und es müsste klappen.
Vorsicht: Bei der Namensauflösung ".meinedomain.local" anhängen.

Mit freundlichen Grüßen
HeinrichXII
Bitte warten ..
Mitglied: Coreknabe
04.09.2010 um 17:20 Uhr
Hallo Ihr Beiden,

danke für die Antworten.

@Stefan: Ja, so habe ich das auch verstanden. Mein Problem ist die genaue Syntax im Befehl. Was gebe ich bei -Identity "CAS-Servername\EWS (Standardwebsite)" hinter dem CAS-Servernamen ein? Der Befehl wird mit Standardwebsite nicht akzeptiert, es gibt eine Fehlermeldung: Das Objekt wird im Domänencontroller nicht gefunden. Was muss ich hier eingeben? Oder anders gefragt: Wo kann ich ersehen, wie die Standardwebsite heisst?

@Heinrich: Das ist nicht das Problem, OWA funktioniert ja einwandfrei und ohne Gemecker. Es dreht sich allein um die lokale Outlook-Kommunikation und Exchange-Server, nicht um die Kommunikation Browser - Exchange.
Bitte warten ..
Mitglied: HeinrichXII
05.09.2010 um 00:01 Uhr
Steht auf der Fehlermeldung "sites"?

Probier's einfach mal aus. Die 4 Einträge in den Browser dürften dich aufwandtechnisch nicht umbringen.
Bitte warten ..
Mitglied: Coreknabe
06.09.2010 um 08:41 Uhr
Nochmal: Alle Einträge in den Browser sind vergebene Liebesmüh, da das Problem in der LOKALEN Kommunikation zwischen Outlook und Exchange besteht. Der Browser ist hier absolut außen vor und hat mit der eigentlichen Problematik NICHTS zu tun. Das geht auch klar aus dem Thread hervor. Zumindest, wenn man sich die Mühe macht und den verlinkten Eintrag aus der Microsoft-Knowledgebase liest...

Bin jetzt auf die Lösung meines Problems gestoßen. Die Teil-Einträge müssen wie folgt lauten:
-Identity CAS-Servername\EWS *

Ebenso verfährt man bei OAB und unifiedmessaging (Punkte 4 und 5 der Lösung). Die dort stehenden Anführungszeichen müssen ebenfalls weggelassen werden. ACHTUNG: Stimmt der Aufruf des Webservers inhaltlich für den externen und internen Zugriff nicht überein, genauer hinschauen! Mag sein, dass das keine Rolle spielt, habe ich mir nicht genauer angesehen. In meinem Fall ist das egal, da der Aufruf von extern und intern identisch ist.

Nochmals Danke für die Antworten!
Bitte warten ..
Mitglied: Wackerstein
14.07.2011 um 18:47 Uhr
Coreknabe
Vielend Dank für diesen letzten Hinweis.
Er hat mir viel Zeit gespart.
Achtung: keine Leerstelle nach EWS
Bitte warten ..
Mitglied: Coreknabe
15.07.2011 um 09:53 Uhr
Moin Wackerstein,

da freue ich mich doch, dass ich auch mal was wusste

Danke für Deine Anmerkung.
Bitte warten ..
Mitglied: saber-rider
28.10.2011 um 10:27 Uhr
Hallo Coreknabe,

auch ich habe das Problem mit den Sicherheitszertifikaten und dem Outlook Client.

Erst mal vielen Dank für Deinen Thread und dem Hinweis mit dem * für die Standardwebsite - da muss man erst mal drauf kommen.

Ich verwende für intern / extern zwei unterschiedliche Namen - leider hat der Tip der KB (http://support.microsoft.com/kb/940726/de) nicht geklappt. Ich bekomme immer noch die Zertifikatsfehlermeldung beim Starten des Outlook Clients.

Hast Du (oder ein anderer Leser dieses Freds) vielleicht noch einen Tip für mich wo ich für eine Lösung ansetzen kann?

Vielen Dank
Saber-Rider
Bitte warten ..
Mitglied: Coreknabe
28.10.2011 um 10:52 Uhr
Moin Saber-Rider,

wie bereits erwähnt, habe ich nicht die Problematik, dass ich intern und extern unterschiedliche Namen verwende. Zu diesem Thema sagt Microsoft in meinem eingangs erwähnten Link:

Wenn sich der interne Namespace vom externen Namespace unterscheidet und wenn Sie kein Zertifikat verwenden können, das alternative Antragstellernamen unterstützt, verwenden Sie die Task Set-ClientAccessServer in der Exchange-Verwaltungsshell, um die URL zu ändern. In diesem Szenario müssen Sie die URL so ändern, dass sie auf den neuen Speicherort für AutoErmittlung zeigt. Verwenden Sie z. B. den folgenden Befehl, um auf den neuen Speicherort für AutoErmittlung zu zeigen:
Set-ClientAccessServer –AutodiscoverServiceInternalUri https://mail.contoso.com/autodiscover/autodiscover.xml

Du brauchst also ein entsprechendes Zertifikat oder muss mit Set-ClientAccessServer rumwurschteln.
Bitte warten ..
Mitglied: saber-rider
28.10.2011 um 11:12 Uhr
Moin

den neuen Speicherort für die AutoErmittlung hatte ich schon ausprobiert - leider ohne Erfolg.

Dann werde ich - wenn wir das TLS Zertifikat erneuern - versuchen eines zu besorgen in dem auch der alternative Namenseintrag vorhanden ist. Das ist im Moment nicht so - ich habe vor einem Jahr keine Firma gefunden, die mir so ein Zertifikat ausstellen will.

Wo besorgst Du Dir Deine Zertifikate?
Bitte warten ..
Mitglied: Coreknabe
28.10.2011 um 11:23 Uhr
Meine Zertifikate baue ich mir mit SelfSSL. Mit Windows-Bordmitteln geht das auch, die gelten dann aber nur für ein Jahr (Default, per Registry-Frickelei lässt sich die Ablaufdauer verlängern). Bin aber faul und SelfSSL macht's leichter. Weiterer Vorteil ist, dass ich die Standardeinstellungen von Windows nicht verdrehe und ich später Seiteneffekte habe, aber nicht mehr dran denke, dass ich mal was verdreht habe. Oder nicht auf dem Zettel habe, dass diese Einstellung auch anderes beeinflusst. Ja, ich weiß, dass Profi-Dokumentierern sowas nicht passiert...

Ansonsten zur Erstellung von Zertifikaten mit alternativem Namenseintrag:

http://technet.microsoft.com/de-de/library/bb680733.aspx
http://www.msxfaq.de/signcrypt/setupca2008.htm
http://support.microsoft.com/kb/931351/de

Viel Spaß beim Lesen!
Bitte warten ..
Mitglied: saber-rider
28.10.2011 um 12:07 Uhr
Mit diesen - von der Root CA erstellten - Zertifikaten bekommt der Benutzer doch immer den Misstrauenshinweis im Browser zu sehen (es sein den er installiert das Zerifikat). Das ist bei mir leider nicht möglich - bzw. der Arbeitgeber möchte das nicht.

Oder habe ich da - in Deinen Links - auf die Schnelle was überlesen?
Bitte warten ..
Mitglied: Coreknabe
28.10.2011 um 12:27 Uhr
Mit diesen - von der Root CA erstellten - Zertifikaten bekommt der Benutzer doch immer den Misstrauenshinweis im Browser zu sehen
(es sein den er installiert das Zerifikat). Das ist bei mir leider nicht möglich - bzw. der Arbeitgeber möchte das
nicht.

Oder habe ich da - in Deinen Links - auf die Schnelle was überlesen?

Nö, haste nicht. Hast aber auch nichts davon erwähnt, dass das so nicht sein soll.

Ansonsten heißt das Zauberwort in einer Domäne "Auto-Enrollment".
Bitte warten ..
Mitglied: saber-rider
28.10.2011 um 12:58 Uhr
Zitat von Coreknabe:
> Mit diesen - von der Root CA erstellten - Zertifikaten bekommt der Benutzer doch immer den Misstrauenshinweis im Browser zu
sehen
> (es sein den er installiert das Zerifikat). Das ist bei mir leider nicht möglich - bzw. der Arbeitgeber möchte das
> nicht.
>
> Oder habe ich da - in Deinen Links - auf die Schnelle was überlesen?
>
Nö, haste nicht. Hast aber auch nichts davon erwähnt, dass das so nicht sein soll.

Ansonsten heißt das Zauberwort in einer Domäne "Auto-Enrollment".


Stimmt - sorry hätte ich erwähnen sollen.
Ich werde dann bei der nächsten Zertifikatsanforderung auf den alternative Namenseintrag achten und hoffen, dass Outlook dann auch denn Richtigen nimmt.

Vielen Dank für Deine Infos.
Schönes WE
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Outlook & Mail
Outlook 2010 Exchange 2013 Zuordnung der Signaturen nicht möglich

Frage von Laufenfeuer zum Thema Outlook & Mail ...

Exchange Server
gelöst Outlook 2010, Exchange 2013, Windows 10, Performance-Problem (13)

Frage von halani01 zum Thema Exchange Server ...

Outlook & Mail
Outlook 2010, Exchange mit zusätzlichen IMAP-Konto, im Auftrag von (1)

Frage von StefanKittel zum Thema Outlook & Mail ...

Exchange Server
Exchange 2013, Outlook 2010 Standard-Absendeadresse ändern (4)

Frage von ingoue zum Thema Exchange Server ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...